Ochrana osobných údajov v zdravotníckych zariadeniach. Realita alebo zbožné želanie pacientov?
Predstavte si to: Sedíte v čakárni svojho lekára, keď zrazu konečne zaznie výzva na vstup do ordinácie spolu s Vaším priezviskom. Alebo nedajbože ležíte na nemocničnom lôžku a z rozhovoru zdravotníckeho personálu zaznie meno pacienta, ktorého poznáte, lebo býva vo vedľajšom byte. Prípadne v rámci chodbového rozhovoru personálu nemocnice započujete, že na inom oddelení leží osoba, ktorú viete identifikovať – ide o Vašu sesternicu. Alebo horšie – dostanete sa na lôžkové oddelenie, kde jednou zo sestričiek je Vaša suseda, ktorá Vám v rámci bežného rozhovoru zazdieľa „pikošku“ o tom, že Zuza – to dievča, ktoré ste na strednej ani jedna nemali rady – porodila a svojho syna pomenovala Juan.
Že ste si podobnú situáciu nemuseli predstavovať, lebo ste ju zažili? Dokonca nie raz? Alebo ste si práve ako prevádzkovateľ zdravotníckeho zariadenia uvedomili, že sa niečo také odohralo vo Vašom zariadení? Potom by ste mali vedieť, že ste s najväčšou pravdepodobnosťou zažili porušenie ochrany osobných údajov v praxi.
Osobné údaje vs. právna úprava
Ochrana osobných údajov nie je žiadnym novým právnym odvetvím. Jedná sa síce o oblasť práva, ktorá sa viditeľnejšie dostáva do popredia skôr v posledných rokoch, aj to najmä vďaka sprísňujúcej sa právnej úprave, avšak v žiadnom prípade sa nejedná o oblasť, ktorá by doposiaľ nebola právne upravená.
V prípade, že ste zamestnávateľom alebo podnikateľom, nemusíme Vám pravdepodobne túto oblasť špeciálne predstavovať. Pokiaľ máte pocit, že sa jedná o niečo, s čím ste sa doteraz nestretli, pojem GDPR Vás z tohto stavu zaručene vytrhne. Ak sa tak nestalo, odporúčame obratom preveriť, či ste nezanedbali svoje povinnosti na tomto úseku práva.
Na druhej strane, pokiaľ ste fyzickou osobou, ktorej osobné údaje niekto iný spracúva, existuje veľmi nízka šanca, že by ste voči spracovateľovi Vašich údajov nemali práva priznané tzv. všeobecným nariadením GDPR[1] (ďalej ako „Nariadenie“). Patria medzi ne napríklad aj právo na informácie, právo namietať spracovanie Vašich osobných údajov alebo právo na ich výmaz.
Ako už vyplýva z názvu samotnej oblasti práva, táto je spätá s osobnými údajmi a jej cieľom je zabezpečenie primeranej ochrany príslušných údajov. A keďže sa osobné údaje nachádzajú v takmer každom jednom aspekte života jednotlivca, ich ochrana by mala byť pomerne imanentnou súčasťou spoločnosti ako takej. Lenže vieme, že „mala by“ nie je to isté ako „je“.
Zdravotnícke zariadenia vs. ochrana osobných údajov
Samotný názov príspevku prezrádza, že sa v nasledujúcich riadkoch pozrieme na to, ako vyzerá dodržiavanie právnej úpravy ochrany osobných údajov v zdravotníckych zariadeniach, a to z pohľadu rozhodovacej činnosti Úradu na ochranu osobných údajov Slovenskej republiky (ďalej ako „Úrad“).
(1) Keď kontrola vyústi do pokuty
V roku 2020 uložil Úrad súkromnému zdravotníckemu zariadeniu pokutu vo výške 2.100,- Eur. Vydaniu tohto rozhodnutia predchádzala kontrola, v rámci ktorej boli zistené porušenia Nariadenia a ktoré sa následne premietli do konania o ochrane osobných údajov.
Pôvodne mala kontrola zo strany Úradu celkom široký záber – jej úlohou bolo preverenie: (i) súladu spracúvania osobných údajov so zásadami spracúvania osobných údajov podľa čl. 5 Nariadenia, (ii) podmienok zákonného spracúvania podľa čl. 6 Nariadenia, (iii) podmienok vyjadrenia súhlasu podľa čl. 7 Nariadenia a podmienok spracúvania osobitných kategórií osobných údajov podľa čl. 9 Nariadenia, (iv) informácií poskytovaných dotknutej osobe podľa čl. 13 a 14 Nariadenia, (v) spracúvania osobných údajov sprostredkovateľom podľa čl. 28 Nariadenia, (vi) spracúvania osobných údajov na základe poverenia prevádzkovateľa alebo sprostredkovateľa podľa čl. 29 Nariadenia a (vii) určenia zodpovednej osoby podľa čl. 37 Nariadenia.
V konečnom rozhodnutí Úrad konštatoval, že prevádzkovateľ - súkromné zdravotnícke zariadenie porušil zásadu zákonnosti podľa čl. 5 ods. 1 písm. a) Nariadenia tým, že:
- osoba, ktorej osobné údaje spracúval (ďalej ako „dotknutá osoba“) na základe súhlasu o použití fotodokumentácie, nemala možnosť priamo v príslušnom dokumente vyjadriť svoj súhlas, príp. nesúhlas s vyhotovovaním a následným využívaním fotodokumentácie na jednotlivé účely, ako aj tým, že
- v zmluve so sprostredkovateľom absentovala informácia o účele spracúvania osobných údajov vo vzťahu k vedeniu personálnej a mzdovej agende a rovnako v zmluve absentovali náležitosti podľa čl. 28 ods. 3 písm. f) a h) Nariadenia a
zásadu transparentnosti podľa čl. 5 ods. 1 písm. a) Nariadenia tým, že
- v čase výkonu kontroly - pri spracúvaní osobných údajov na základe súhlasu dotknutej osoby - neposkytoval prevádzkovateľ príslušnej dotknutej osobe pri samotnom získavaní osobných údajov jednoznačné informácie o právnom základe podľa účelu spracúvania, ani ju nepoučil o jej právach vrátane práva odvolať súhlas, ako aj tým, že
- pri poskytovaní informácií súvisiacich so spracúvaním osobných údajov na účely objednávok a marketingu (tzv. newsletteru) neposkytoval prevádzkovateľ dotknutej osobe informácie ohľadne doby uchovávania spracúvaných osobných údajov ani jej právach - resp. tieto informácie jej neboli vo vzťahu k jednotlivým účelom spracúvania osobných údajov poskytované jasne a jednoducho.
Vzhľadom na uvedené vydal Úrad rozhodnutie, na základe ktorého bola súkromnému zdravotníckemu zariadeniu uložená pokuta v sume uvedenej vyššie.
(2) Keď návrh na začatie konania skončí rozhodnutím Úradu bez uloženia pokuty či opatrenia
V roku 2022 začal Úrad na základe návrhu na začatie konania o ochrane osobných údajov konanie voči okresnej nemocnici s poliklinikou.
Navrhovateľ vo svojom návrhu na začatie konania o ochrane osobných údajov poukazoval na to, že zo strany nemocnice ako prevádzkovateľa malo dôjsť k pochybeniu na úseku ochrany osobných údajov, keď vo výmennom lístku manželky navrhovateľa bolo uvedené nesprávne rodné číslo. Súčasne, prevádzkovateľ na základe písomnej žiadosti nemal navrhovateľovi poskytnúť informácie, akým tretím stranám boli poskytnuté údaje zo zdravotnej dokumentácie.
V predmetnej veci vydal Úrad rozhodnutie, v ktorom konštatoval porušenie zásady správnosti osobných údajov podľa čl. 5 ods. 1 písm. d) Nariadenia. Pokutu však Úrad nemocnici neuložil a rovnako tak nedošlo ani k uloženiu nápravných opatrení v zmysle Nariadenia. Nemocnica ako prevádzkovateľ totiž v priebehu konania o ochrane osobných údajov rodné číslo dotknutej osoby opravila, čím došlo k odstráneniu protiprávneho stavu, v dôsledku čoho už uloženie opatrení na nápravu nebolo dôvodné a účelné.
Ochrana osobných údajov vs. rozhodovacia prax v zahraničí
Ako je možné vidieť, Úrad nevedie často voči poskytovateľom zdravotnej starostlivosti na území Slovenskej republiky konanie o ochrane osobných údajov. Ako to však vyzerá s rozhodovacou praxou v zahraničí?
Holandsko vs. pokuta vo výške 460.000,- Eur
Nemocnica v Haagu dostala v roku 2019 pokutu vo výške 460.000,- Eur za nedostatočné zabezpečenie záznamov o pacientoch po tom, čo vyšlo najavo, že k zdravotným informáciám celebrít malo prístup viac ako 190 zamestnancov, pričom mnohí z nich nemali legitímny dôvod na prístup k takýmto informáciám. Holandský úrad na ochranu údajov konštatoval, že porušenie Nariadenia bolo spôsobené absenciou kontrol overenia používateľov pri prístupe k informáciám v systéme zdravotníckeho zariadenia.
Zaujímavosťou je, že holandský úrad na ochranu osobných údajov uložil nemocnici povinnosť zaplatenia ďalších 100.000,- Eur (maximálne však 300.000,- Eur) za každé dva týždne omeškania v prípade, ak bezpečnosť záznamov o pacientoch nezlepší do ním stanoveného dátumu. Takéto opatrenie pritom nebolo zo strany holandského dozorného orgánu uložené prvýkrát – v októbri 2018 prijal príslušný úrad podobné opatrenie voči holandskej poisťovni UWV (Employee Insurance Agency). Úrad v príslušnom prípade rozhodol, že ak poisťovňa nezavedie požadované opatrenia spočívajúce v dvojfaktorovom overovaní do úradom stanoveného dátumu, hrozí jej pokuta vo výške 150 000,- Eur za každý mesiac omeškania – maximálne však súhrne do výšky 900.000,- Eur.
Taliansko vs. pokuta vo výške 30.000,- Eur
Taliansky úrad na ochranu údajov uložil v roku 2020 fakultnej nemocnici vo Verone pokutu vo výške 30.000,- Eur za nedodržanie bezpečného spracúvania osobných údajov, v dôsledku čoho nedokázala zabrániť neoprávnenému prístupu osôb k dôverným informáciám. Taliansky dozorný orgán v posudzovanom prípade zistil, že zamestnanci nemocnice pristupovali k zdravotným záznamom svojich kolegov skôr z čisto osobných dôvodov ako z dôvodu poskytovania starostlivosti, pričom zo strany nemocnice neboli zavedené žiadne technické opatrenia, ktoré by tomuto neoprávnenému prístupu zabránili.
Portugalsko vs. pokuta vo výške 400.000,- Eur
V roku 2018 uložil portugalsky úrad na ochranu údajov nemocnici pokutu vo výške 400.000,- Eur po tom, čo zistil, že jej zamestnanci mali prístup k údajom o pacientoch prostredníctvom falošných profilov. V príslušnom systéme bolo zaregistrovaných 985 používateľov v kategórii „lekár“, no v zariadení v danom čase bolo zamestnaných len 296 lekárov. Problémom bol tiež neobmedzený prístup lekárov ku všetkým súborom pacientov, a to bez ohľadu na ich postavenie alebo špecializáciu. Portugalský dozorný úrad dospel k záveru, že nemocnica nezaviedla vhodné technické a organizačné opatrenia na obmedzenie prístupu a ochranu údajov jej pacientov. Tento prípad svedčí o nevyhnutnosti prijatia takých HR procesov zo strany zamestnávateľa, v dôsledku ktorých osoby, ktoré už nie sú zamestnancami, nebudú mať po svojom odchode umožnený prístup k informáciám zamestnávateľa a v dôsledku ktorých budú profily bývalých zamestnancov s okamžitou platnosťou po ukončení pracovného pomeru uzavreté.
Záver
O (ne)dodržiavaní právnej úpravy ochrany osobných údajov v zdravotníckych zariadeniach by bolo možné viesť častokrát aj dlhé a komplikované diskusie. Aj keď sa na prvý pohľad javí, že sa v danom prípade jedná len o ďalšiu byrokratickú záťaž, porušenie právnych predpisov na úseku ochrany osobných údajov môže viesť k nechceným a veľmi vážnym dôsledkom. Bohužiaľ, v podmienkach Slovenskej republiky sa nejedná v súčasnosti o problematiku, ktorej by Úrad venoval relevantnú pozornosť, a to ani v žiaducej forme prípadných usmernení. Čo sa týka rozhodovacej praxe, Úrad doposiaľ vydal len dve relevantné rozhodnutia, o ktorých preventívnych či sankčných dôsledkoch je možné polemizovať. Zdravotníckym zariadeniam tak momentálne nezostáva nič iné, len uvedomiť si svoje porušenia Nariadenia a prijať relevantné opatrenia skôr, ako voči nim začne konať Úrad či už v rámci svojej kontrolnej činnosti alebo z dôvodu návrhu na začatie konania o ochrane údajov podaného osobou, ktorá má za to, že jej bolo ublížené na právach.
Mgr. Daša Derevjaniková,
advokátska koncipientka
Eversheds Sutherland, advokátska kancelária, s.r.o.
Hodžovo námestie 1/A
811 06 Bratislava
Tel: +421 232 786 411
E-mail: bratislava@eversheds-sutherland.sk
[1] Jedná sa o nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov).
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk